site map    |     contact us

  • 뉴스
  • 스타아이티에서 알려드립니다.
  • 
      저가형 SSL 인증서로 위장한 피싱 사이트 주의 11.28
      [아이티데일리] 닷네임코리아(대표 강희승)는 저가형 인증서인 DV SSL(Domain-Validated Secure Sockets Layer)의 취약점을 이용한 피싱 사이트 피해가 구글에서 ‘안전함’ 표기 이후 오히려 더 증가하고 있어 주의가 필요하다고 24일 밝혔다.

      SSL 인증서는 인증 방법에 따라 크게 DV(Domain-Validated), OV(Organization-Validated), EV(Extended-Validation) 세 가지 유형으로 나뉜다. 이 중 DV SSL은 OV SSL, EV SSL과 비교해 저렴한 가격과 별도의 기업심사 없이 발급된다는 특징으로 인증시장에서 점유율을 확보해 왔다.

      이 같은 DV SSL에 대한 전 세계적인 수요는 DV SSL을 무료로 제공하는 ‘렛츠 인크립트(Let's Encrypt)’의 영향이 크다는 분석이 나오고 있다. 렛츠 인크립트가 무상으로 DV SSL을 공급함에 따라 기존 유료 인증서를 사용하고 있던 기업들의 주목을 받으면서, DV SSL 수요 증가를 견인하고 있다는 것이다.

      이러한 DV SSL의 성장세와 맞물려 구글(Google)은 크롬(Chrome) 55 버전부터 인증서를 적용하는 웹사이트에 대해서 브라우저에서 ‘안전함’을 표기하는 정책을 시행했다. 크롬에서는 인증서만 적용돼 있으면 사이트 접속 시 ‘안전함’으로 표기가 되기 때문에 일반 사용자의 입장에서는 인증서가 정상 설치된 사이트에 대해서 직관적으로 ‘안전하다’라고 인식하게 된다.

      문제는 피싱 사이트에서 이 점을 악용해 손쉽게 발급되는 DV SSL 인증서를 발급 받아 불법 웹사이트의 안전성을 확보하고 있다는 것이다. 넷크래프트에 따르면, 구글 크롬의 ‘안전함’ 표기 정책 시행 이후, 피싱 사이트들이 렛츠 인크립트와 같은 무료 인증서를 사이트에 적용한 후, ‘안전함’ 표기를 미끼로 피싱에 성공한 사례가 급속하게 증가하고 있다.

      브라우저 기술표준 협의체(CAB Forum)에서는 이 같은 SSL에 대한 크롬 표기 정책을 문제 삼고, 사용자에게 막연한 정보를 제공하는 것이 아니라 인증서 유형별로 명확하게 정의된 보안 정보를 제공해 혼란을 막아야 하며, 사용자에게 인증서의 유형별 차이점과 각 브라우저별 표기 방식에 대한 교육이 필요함을 강조했다.

      강희승 닷네임코리아 대표는 “안전함이라는 단어의 의미 자체가 사람들이 방심하기 쉽게 하므로, 안전함이라는 표기 대신 사용자가 신중하고 객관적으로 판단할 수 있게 하는 암호화됨, 보안접속 등의 사실적이고 전문적인 명칭을 사용하자는 의견이 전문가들 사이에서 많이 제안되고 있으며, 파이어폭스에서는 도메인주소만 진하게 표기해 피싱을 방지하도록 하고 있다”며, “DV, OV, EV 각각의 인증서 유형에 따라 브라우저 별로 표기되는 방식이 다른데, 이 같이 피싱의 위협이 증가하고 있다면 DV SSL을 사용하는 것보다는 웹사이트의 실체성과 회사명을 브라우저에서 명확히 표기해주는 EV SSL을 사용해 DV SSL의 단점을 보완하는 것이 바람직한 방향”이라고 말했다.

      한편, 닷네임코리아는 국내 보안인증분야에서 시만텍(Symantec), 지오트러스트(Geotrust), 써트(Thawet), 코모도(Comodo) 인증서 공급 브랜드 ‘애니서트(Anycert)’를 통해 SSL인증서 및 응용프로그램 인증서를 제공하고 있으며, 무료로 보안 컨설팅 캠페인을 지속적으로 진행해오고 있다.
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
  • 주식회사 스타아이티 - Trusty together, Better Dreams
    150-072 서울시 영등포구 대림1동 989-12 한남빌딩 312호      대표이사 : 박연호     전화 : 02.835.8797     팩스 : 02.834.8797     메일 : sales@starit.co.kr

    Copyright (c) 2013 ~ 2017 StarIT Co.,Ltd. All Rights Reserved.